Кибербезопасность — это неудобно, неблагодарно, но обязательно
Когда регулятор не надзор, а навигатор
Когда речь заходит о кибербезопасности, редко вспоминают эмоции. Но именно с них начался виртуальный круглый стол «ИБ 360°», организованный IT-World и сообществом ИТ-Диалог. «Если не экспертно, то хотя бы эмоционально», — предложил модератор Рустэм Хайретдинов. И разговор сразу свернул с формального пути.
Первый вопрос: государственное регулирование — это головная боль или все-таки спасение для бизнеса? Тема, которую бизнес часто воспринимает как угрозу, а вот вендоры — неожиданно как точку опоры.
Для производителей решений в сфере ИБ наличие стандартов — это не просто формальность, а способ сделать рынок чище и понятнее. Именно так это видит Даниил Бориславский (Staffcop, СКБ «Контур»). Потребителю нужен ориентир, что-то, чему можно доверять. А когда каждый пишет свою методику «на коленке», ни о какой прозрачности и доверии к продукту говорить не приходится. В этом смысле государственное вмешательство не выглядит злом, а скорее необходимой архитектурой.
Да, есть риск перегнуть и задушить инновации. Но пока, по мнению Даниила, регулирование скорее дисциплинирует, чем мешает. Оно вынуждает строить процессы, а не клеить фичи на скорую руку.
Если для вендоров регулирование — ориентир, то для частного бизнеса оно все чаще становится лабиринтом с кнутом на выходе. В обсуждении это прозвучало четко: правила множатся, а ресурсы, чтобы им соответствовать, не появляются по щелчку. Зато появляются штрафы. И угрозы пострашнее.
Компании сталкиваются с тем, что выполнить все невозможно. А не выполнить — опасно. Иван Козлов, (ГК «Латео») честно назвал ситуацию парадоксальной: «Советуются с нами много, но если не сделаешь, получишь кнута». И это вовсе не метафора. Вскоре за нарушения в работе с персональными данными может появиться уголовная ответственность. Но дело не только в эмоциях. Регулирование действительно помогает сдвинуть внутренние процессы. Александр Васильев, («Невский экологический оператор») объяснил: «Как только в финансовом блоке слышат про оборотные штрафы, тут же появляются бюджеты на безопасность». По-другому в большинстве компаний до сих пор не работает.
Вот только деньги сами по себе не гарантируют эффективности. Слишком часто они уходят не на реальную защиту, а на выполнение формальных требований — чтобы отчитаться, а не защититься. Так рождается вторая реальность: бумажная безопасность, которая требует не меньше усилий, чем настоящая. А иногда и больше.
Есть еще одна перспектива — взгляд технологических консультантов.
(Cloud Networks) обозначил свою роль четко: «Мы не вендоры и не клиенты. Мы между. Те, кто видит обе стороны и работает на стыке интересов». Именно с этой позиции он описал ситуацию, от которой у многих безопасников начинает дергаться глаз.
С одной стороны, государственное регулирование — благо. Без него многие ИБ-отделы так и остались бы с нулевыми бюджетами. Когда появляется угроза штрафов, появляются и деньги. Но у этой монеты есть и другая сторона. Сертификация решений, по сути, заменяет осмысленный выбор. Многие заказчики ориентируются исключительно на наличие сертификата , при этом неважно, что за продукт перед ними. Главное, что бумага есть. В результате компании закупают формально «безопасное» ПО, которое в реальности просто «мигает лампочкой», а на фоне продолжают использовать «старые, западные, протухшие лицензии». Безопасность становится декорацией — в ней играют, но не живут.
И в этой декорации государство иногда выглядит как еще один фактор риска. Не регулятор, а почти нарушитель, от которого тоже надо защищаться.
Егор Леднев (RooX) предложил взглянуть на проблему через человеческий фактор, ведь именно люди в ИБ-отделах принимают решения. Он разделил всех безопасников, с которыми сталкивался в проектах, на три типа. Первые — бюрократы с абстрактными требованиями, не привязанными к задачам проекта. Вторые — «запретители», которые просто говорят «нельзя» и исчезают, не объяснив, что именно нужно. А вот третьи — редкие, но ценные: включенные, конструктивные, способные предложить решение, а не просто палки в колеса. Именно третий тип, по мнению Егора, как раз и соответствует духу ГОСТа по безопасной разработке: «Это не про ограничения, это про понимание. Не про диктат, а про внятный путь, как сделать хорошо и правильно».
Как регулирование может работать, а может мешать
В обсуждении нормативки прозвучала попытка примирить бумажную и реальную безопасность. Документы, созданные не ради галочки, а как результат анализа рисков, могут стать полноценной частью защиты. Не обузой, а архитектурным элементом системы ИБ.
Все зависит от подхода: если бумага создается как результат анализа рисков, а не как обоснование перед регулятором, она становится частью настоящей защиты. Не просто текстом, а основой архитектуры ИБ в компании. Но тут есть и другая грань, когда регулирование «обгоняет рынок». Требования заданы, но ресурсов на их выполнение нет. Так произошло, например, с указом 250: нормы есть, а выполнение остается на критически низком уровне. В таких случаях правило теряет статус ориентира и начинает восприниматься как источник давления — и даже отторжения.
В практике Кирилла Строганова (ОБИТ) — множество клиентов, которые формально не подпадают под жесткое регулирование. Ни тебе критической инфраструктуры, ни персональных данных. Но именно в этом бизнесе и происходит то, чего все боятся: инциденты, заражения, утечки.
Здесь проявляется уязвимость всей экосистемы. Потому что, как напомнил Кирилл, ИТ-ландшафт связан: «Скомпрометировал одну систему — пролез в другую». Если защита базового бизнеса хромает, она становится точкой входа в куда более чувствительные зоны.
Отсюда — призыв к следующему шагу: отраслевому регулированию. Оно пока слабо проработано, но именно такой подход мог бы дать шанс внедрять ИБ-гигиену там, где пока на нее просто закрывают глаза. Не жесткими мерами, а хотя бы за счет поддержки. Потому что слабое звено может оказаться где угодно, даже в тех, кто по документам вообще «ни при чем».
Почему инвестировать в безопасность все еще не очевидно для бизнеса
Зачем платить за защиту, если никто не может дать гарантий? Ни вендоры, ни интеграторы, ни консультанты — никто не обещает, что «если вы все сделаете правильно, вас не взломают». А если гарантии нет, логика предпринимателя проста: почему бы не сэкономить? «Наша общая боль в том, что никто в индустрии не дает гарантий, — резюмировал модератор Рустэм Хайретдинов. — Даже сертифицированные решения, даже аттестации не защищают на 100%».
Именно поэтому безопасность так часто остается в списке «второстепенных» расходов — особенно там, где деньги приносит не ИТ. За сайт, мобильное приложение или кассовое ПО бизнес готов платить: отдача видна сразу. А вот безопасность воспринимается скорее как страховка на случай конца света. Платить вроде бы нужно, но в ее необходимость по-прежнему мало кто верит.
И все же инструменты влияния есть. Один из них — оцифровка последствий. Не рассказывать, как страшен фишинг, а показать, сколько стоит неделя простоя, потеря клиентской базы или штраф за утечку.
«Если оцифровать ущерб, то бизнес сам все поймет, — отметил Александр Васильев, — иногда проще закрыть компанию, чем пережить такой инцидент». Именно так у ИБ-отделов появляется шанс быть услышанными. Не пугать, а объяснять. Не абстрактной статистикой, а конкретными суммами: в той валюте, в которой мыслит бизнес.
Киберинциденты, как известно, шокируют бизнес — но редко надолго. «После истории со СДЭКом у нас было море обращений: “Сделайте, чтобы не как у них”. Но до проекта не дошел никто, — признался Рустэм Хайретдинов, — болит очень недолго». И это, пожалуй, срез всей проблемы: безопасность вспоминают по факту. И очень быстро забывают, если гром не грянул над твоей головой.
Пока ИБ-функция защищает «конфиденциальность», бизнес страдает от «доступности». Простои, остановки, сбои в работе критичных сервисов — вот чего реально боятся руководители. «Мы слишком часто защищаем не от того, чего боится бизнес, — отметил Рустэм. — Он боится недоступности. А мы все про утечки».
Это расхождение не просто культурное. Оно стоит бюджета, внимания и авторитета. Пока безопасность говорит о «триаде» (конфиденциальность, целостность, доступность), бизнесу нужно одно: чтобы все работало.
Решение, которое прозвучало в дискуссии, простое и сложное одновременно: строить защиту не ради принципов, а ради процессов. В основе должна быть непрерывность, устойчивость и реальное понимание, какие риски ведут к каким потерям. Не по учебнику, а в конкретной компании, в конкретной ситуации. Только тогда ИБ перестанет быть «просьбой о финансировании» и станет элементом нормальной операционной модели.
Вопрос, как убедить бизнес тратить на безопасность, вновь вышел на первый план, но теперь с другого конца. Цифры, угрозы, регламенты важны, но далеко не всегда работают. Иногда срабатывает не модель угроз, а простая метафора: дверь без замка. И да, никто не гарантирует, что воры не придут. Но оставлять вход открытым — глупо.
«Мы ведь не ставим замок на дверь с мыслью, что к нам точно залезут, — объяснила Ольга Копейкина (AKTIV.CONSULTING). — Но жить без замка странно. С ИБ та же логика». ИБ по-прежнему говорит на языке уязвимостей, а бизнес на языке вероятностей и денег. И тут важно не только уметь переводить одни понятия в другие, но и правильно выбрать интонацию. Не запугивать, а объяснять. Не нагнетать, а демонстрировать. Показывать, сколько стоит простой, сколько — инцидент, и что дешевле: потерять все или немного вложиться в защиту.
Параллельно прозвучала и другая важная мысль: быть на шаг впереди — не значит быть непробиваемым. Это значит быть не самой легкой мишенью. Иногда достаточно выстроить защиту так, чтобы взламывать было невыгодно. «Нет смысла бежать быстрее медведя. Надо бежать быстрее коллег», — заметил Иван Козлов. И бизнесу такая логика ближе, чем модели угроз. Отсюда и необходимость отраслевых ориентиров, чтобы понимать, где ты на фоне других. Не уходить в дебри матмоделей, а просто знать: что является нормой, а что — опасным отставанием.
Хочешь пробить проект — добавь слово «безопасность»
Безопасность давно перестала быть просто функцией. Ее начали использовать как политический аргумент, как рычаг и как страшилку. На круглом столе прозвучало это без прикрас: «Хочешь закошмарить бизнес — напиши, что проект устраняет риски безопасности». И, как ни странно, это до сих пор работает.
Но не у всех.
(«Автозавод Санкт-Петербург») предложил более честный подход. Вместо манипуляций — разбор приоритетов. Вместо дежурных лозунгов — прямой разговор с бизнесом. Что критично? Где находится то самое «яйцо Кащея»?
«Все защитить невозможно. Поэтому мы идем от конкретного: производственный контур, клиентские данные. Вот это и есть настоящая зона риска».
Безопасность, по его словам, нельзя рассматривать как монолит. Она должна собираться по частям, как сложный механизм. По шагам, с понятной логикой и с прямой пользой для бизнеса. Но и такой подход требует зрелости. Как от ИТ-директора, так и от топ-менеджеров. Даниил Бориславский напомнил: на страхе далеко не уедешь. Да, можно продать проект, можно выбить деньги, но крепкие отношения с бизнесом так не построишь. «Я за то, чтобы показывать, где безопасность помогает экономить, где ускоряет процессы, где дает конкурентное преимущество. Страх — штука краткосрочная».
И кажется, бизнес постепенно начинает это понимать. Все чаще в корпорациях звучит не «зачем нам ИБ», а «как встроить ее в процессы так, чтобы она не мешала, а помогала».
Пентест как ограбление по сценарию
Если угрозы долго не реализуются, у бизнеса возникает закономерный вопрос: а может, опасности и нет? Именно в этом — корень системного недоверия к безопасности. В банковской сфере, как пошутил модератор Рустэм Хайретдинов, никто не отменяет инкассаторов, даже если 10 лет ни одного ограбления. А вот в ИБ — пожалуйста: «Зачем нам все эти броневики, если у нас тишина?»
Именно поэтому в какой-то момент на рынке расцвела целая индустрия пентестов, отчасти как замена реальным инцидентам. Проверка на прочность, в которой уязвимость ищут не злоумышленники, а партнеры. Такая «контролируемая атака» вроде бы должна внушать доверие. Но вызывает новые вопросы: это реальный инструмент повышения устойчивости или просто симуляция угрозы для обоснования новых затрат?
«Как только ты почувствовал себя в безопасности — это первый признак, что пора проверяться», — напомнил Роман Цыганков.
В 2022 году многие компании буквально захлестнуло волной атак. Шок прошел быстро. Уже к концу года 500 попыток взлома в неделю воспринимались как фоновый шум. Наступило то самое опасное чувство: «вроде все нормально». Именно в такие моменты регулярная проверка становится не формальностью, а актом выживания.
Но и здесь есть подводные камни. Александр Васильев обратил внимание на опасную практику: когда один и тот же подрядчик и строит защиту, и сам же ее тестирует. Это как дать сценарий ограбления начальнику охраны и попросить его же организовать налет. Проверка теряет смысл. «Тот, кто ставит забор, не должен быть тем, кто проверяет, можно ли через него перелезть», — подчеркивает он.
Пентест — это не демонстрация угроз, а техосмотр. Не повод для паники, а способ обнаружить, что где-то ржавчина. И если бизнес хочет сэкономить на реальных инцидентах, проще заплатить за симулированный. Потому что в этом сценарии есть главное преимущество: он кончается не штрафами, а отчетом.
«Кто-то нас ломать будет? Зачем?!» — так реагируют, по словам Кирилла Строганова, даже владельцы крупных предприятий. Их можно понять: слово «взлом» вызывает образ маски-шоу, а не осмысленного аудита. Убедить провести проверку иногда проще через метафору «чекапа организама». Аргумент «мы ведь здоровье проверяем» срабатывает удивительно эффективно, особенно если подается на человеческом языке с объяснением бизнес-рисков. Проблема, правда, глубже. Даже после пентеста часто начинается фаза отрицания: «Нам просто не повезло с подрядчиком» или «у нас безопасник слабый». Как ни поверни — крайним становится тот, кто принес плохие новости.
«Если пентест успешный — безопасник плохой. Если провальный — подрядчик плохой. Выхода нет», — заметил Алексей Воронцов.
Но у проверки может быть и вторая, гораздо более полезная жизнь — в виде демонстрации. Пригласить руководство, устроить киберучение, показать, как работает SOC, как реагируют сотрудники в реальном времени. Безопасность, вынутая из абстракции и показанная в действии, производит впечатление. Особенно на тех, кто подписывает бюджеты. Так пентест перестает быть «проверкой на вылет» и превращается в инструмент доверия. Да, он не гарантирует, что завтра все будет спокойно. Зато показывает, что именно мы делаем сегодня, чтобы завтра не случился коллапс. И это уже не страх, а стратегия.
Казалось бы, дружественный взлом — всего лишь инструмент. Но как только разговор заходит о промышленных объектах, у всех участников резко меняется тон. И становится ясно: в ИБ, как и в хирургии, есть места, где резать нельзя. И если в банке максимум — это час простоя банкомата, то на нефтеперерабатывающем заводе ошибка может закончиться пожаром. Или хуже. «Сначала сгорит завод, а потом и весь окружающий город — вы готовы под этим подписаться?» — так однажды встретили команду пентестеров на реальном объекте. Ответ был честный: «Нет, спасибо».
Так что пентест — это не просто методика. Это еще и вопрос ответственности. И чем ближе к физическому миру, тем выше ставка.
Егор Леднев подхватил тему, отметив, что сама по себе проверка ничего не гарантирует и никого не спасает. Это просто способ убедиться, что все работает — как тест на заводе, где отсматривают брак. Проверка нужна, но драйвером безопасности она не становится. «Драйвер — не тест. Драйвер — изменение среды», — объяснил он.
Так было в 2022-м, когда резко стало понятно: мир вокруг стал другим. Безопасность оказалась важной не потому, что кто-то провел пентест, а потому что изменилась сама модель угроз. Все, что раньше казалось «где-то далеко», стало частью повседневности. И вот тогда — да, пентесты начали делать чаще. Но не они запустили процесс. Они лишь зафиксировали факт: жить по-прежнему уже нельзя.
Удобство против безопасности
Существует старая байка: сумма удобства и безопасности — величина постоянная. Если прибавил в защите, готовься потерять в комфорте. И каждый, кто когда-либо запрещал флешки, соцсети или упрощенные пароли, знает, чем это заканчивается: саботаж, жалобы и тихое бурчание в стиле «эти параноики опять все сломали».
Данные — это «новая нефть», которую критически важно защищать
Но если смотреть честно — безопасность действительно неудобна. Особенно если она внедряется «сверху», без объяснений и без вариантов. Ольга Копейкина призналась: да, пользователи рыдали. Кричали. Обзывали. Но ровно до того момента, пока им не показали, как можно иначе — безопасно, но при этом по-человечески. «Когда даешь альтернативу, и она работает — плач Ярославны быстро заканчивается», — резюмировала она.
Ключевой вывод: сопротивление безопасности не связано с чьим-то злым умыслом. Просто люди не любят, когда им мешают работать. Особенно если взамен не предлагают ничего внятного. Хотите запретить флешки — дайте им защищенную почту. Запретили легкие пароли — объясните почему. Или, как в одном кейсе, предложите выбирать: либо сложный пароль на месяц, либо простой, но с заменой каждые два дня. После пары циклов замены пользователи выбрали запоминать. Роман Цыганков добавил важный штрих: любое ограничение воспринимается как посягательство на рутину. Даже если речь вовсе не о безопасности. А рутина — почти священна. Люди не любят, когда ее нарушают.
Поэтому задача безопасника — не просто внедрить решение, а продать его. Настроить систему — это лишь половина дела. Настроить культуру — совсем другой уровень. Без нее даже самые продвинутые технологии будут вызывать раздражение. Или в лучшем случае их просто обойдут.
У каждого безопасника есть два подхода: «убалтывать» или «нагибать». И в зависимости от ситуации в ход идут оба. Но одних объяснений мало. Людям нужно показать последствия. Например, напомнить, что в документах черным по белому написано: если что-то утекло с вашего рабочего места — отвечаете лично вы. А рядом — инструкция: вот тебе инструмент, чтобы этого не случилось. Простая логика, простое принятие.
впрочем, уточнил: настоящая борьба идет не с пользователями, а с топ-менеджментом. «Юзерам просто говорят, что теперь вы работаете вот так. А бизнесу нужно показывать выгоды».
Одна из самых наглядных форм такого «показать» — инсценировка собственной уязвимости. Например, в проекте по security awareness, где руководителям продемонстрировали, как легко они сами кликают по фишинговым письмам.
Вывод простой: чтобы безопасность не только внедрялась, но и принималась, важно не просто защищать, а объяснять, зачем это нужно. Тогда сопротивление хотя бы превращается в понимание. Или на худой конец в молчаливое согласие.
Неудобно? Уходим к конкурентам
Одно дело — внедрять безопасность внутри компании, где у тебя хотя бы формально есть власть. И совсем другое — когда твои пользователи по ту сторону экрана, и любая неудобная кнопка становится билетом к конкуренту. «Внешнему пользователю вы не можете сказать: теперь у вас второй фактор — поздравляем, — напомнил Егор Леднев. — Он просто уйдет».
Здесь вся магия не в силе, а в гибкости. Сделаешь безопасность неудобной — ее просто не будет. Точнее, она останется на бумаге. А на практике люди начнут обходить все, что мешает им работать: делиться аккаунтами, записывать пароли на бумажках или просто уходить в тень.
Поэтому настоящая защита — это не броня, а адаптивный костюм. Все зависит от контекста, подчеркивает Егор. Если речь о CRM с конфиденциальными данными — нужен строгий сценарий входа: пароль, токен, сертификат. А вот для внутреннего портала с новостями избыточные меры ни к чему. Достаточно базовой аутентификации.
Пять историй про управление доступом
Именно поэтому адаптивность становится не просто удобством, а признаком зрелости. Причем дело не только в самой аутентификации. Важно продумать всю жизненную цепочку доступа: что делать, если фактор утерян, как восстановить доступ, как защититься от компрометации через бэкапы или обходные механизмы. Плохие системы ломаются не при атаке, а при первом сбое восстановления. Потому что взлом часто происходит не через главный вход, а через форточку восстановления доступа, о которой никто не подумал.
Так что настоящая безопасность — это не просто строгость. Это гибкость плюс сценарий «а что если». И если этого сценария нет, никакая длинная сложная аутентификация не спасет. А если есть, то пользователю и удобно, и безопасно. И он, что важно, не мечтает о побеге к конкурентам.
Профиль есть, знаний нет. Где искать безопасников
Ни одна ИБ-дискуссия не обходится без темы кадров. Их не хватает, они «не те», а те, что есть — уже заняты. Проблема хроническая и, судя по тону участников, местами даже безысходная.
«Мы ищем специалиста уже четвертый месяц. Приходит студент с резюме на три страницы, не может объяснить ни одного слова, которое в нем написал. И при этом «деньги ему не нужны», — поделился
, — Парадокс в том, что образование вроде бы есть, профильное, по ИБ. А знаний нет. Нормативка не знакома, практических навыков ноль, мотивации — с натяжкой».
И тут в голосе заказчиков все чаще звучит нотка старшего поколения: «А мы, между прочим, работаем по 12 часов и не жалуемся!» «У них life-work balance! В 18:00 они просто перестают отвечать на звонки», — усмехнулся Рустэм Хайретдинов. Да, звучит как стариковское брюзжание. Но боль за этим настоящая. Когда ты ищешь специалиста, который не просто «разбирается в ИБ», а сможет взять ответственность за защиту компании — хочется видеть не только диплом, но и включенность.
А что делать, если таких нет? Тут у всех три сценария: либо аутсорс, либо автоматизация, либо воспитание своих. Последний — самый дорогой по времени. А первые два — часто компромисс. И все равно остается проблема: нормативку не напишет ни робот, ни внешний подрядчик без глубокого погружения в контекст. Егор Леднев аккуратно, но четко парирует: проблема не в поколении, а в подходе. «Студент — не приговор. Это лотерея. Кто-то через полгода уже решает задачи на уровне опытных коллег, а кто-то сыпется на первом кейсе», — уверен он. Поэтому резюме вообще ничего не значит. Только практика, только личный опыт. И готовность рисковать, брать и пробовать. Где-то не получится, но где-то вырастет настоящий профессионал. И, как бы банально это ни звучало, искать не тех, кто «хочет работать по специальности», а тех, кто не может по-другому.
«Студенты? Да, если готовы учить. Юристы? Отлично заходят в нормативку. Айтишники сильны в работе с СЗИ. А вот для КИИ лучше всего подходят... инженеры. Люди, которые понимают производственные процессы и знают, где может болеть, куда ни один «офисный безопасник» даже не заглянет», — уверена Ольга Копейкина.
Все это требует времени, усилий и да — риска, что выученный кадр уйдет в банк за зарплатой x2. Но альтернативой станет бесконечный поиск «идеального» кандидата, которого давно переманили конкуренты. Потому что здесь бодаются и вендоры, и заказчики, и консалтинг — все на свете. И в этой битве выигрывают не те, у кого больше бюджета, а те, кто умеет смотреть нестандартно.
В конце концов, не каждый специалист приходит уже с готовым комплектом навыков. Но если есть желание, чуть упрямства и грамотный наставник — из юриста вырастет нормативщик, из конструктора — КИИ-шник, а из Бабы-Яги — хранитель ИБ-леса, знающий, где у системы тонко.
Есть еще одна важная деталь: молодые спецы выгорают от рутины. Даже если пришли с горящими глазами, их можно быстро потерять, если в компании все упирается в «бюджета нет». И тогда у людей один путь — к интеграторам и консультантам, где проекты меняются, задачи нестандартные и драйв не уходит. А у предприятий остается выбор: либо развивать специалистов внутри, либо делегировать задачи тем, кто уже этот круг собрал под своим крылом.
Так и формируется замкнутый рынок: крупные держат команду, средние — надеются на аутсорс, остальные — ищут, учат, теряют и ищут снова. Потому что держать ИБ в порядке — это не про один диплом и не про одного героя. Это про системный подход, ресурсы и понимание, что за безопасность всегда нужно платить: либо деньгами, либо временем, либо нервами.
***
А напоследок — немного неформальности. Модератор Рустэм Хайретдинов поблагодарил всех участников и пригласил встретиться лично — 4 апреля в Петербурге на конференции «Киберконтур-2025». Там, где можно будет обсудить то, о чем «не скажешь со сцены» — но обязательно скажешь кулуарно. Ведь, как известно, настоящая ИБ всегда живет между строк. Присоединяйтесь!